Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE

El futuro de la ciberseguridad como servicio pasa por el modelo híbrido

16/10/2018 - Tx: David Marchal Ft: Red Seguridad
Las aplicaciones como servicio se han convertido en una tendencia al alza para que las empresas optimicen sus recursos de ciberseguridad. Varios profesionales analizaron para este "Sobre la mesa...", patrocinado por Panda Security, los beneficios e inconvenientes de estas soluciones para sustituir recursos propios. La conclusión principal fue que el futuro pasa por apostar por un modelo híbrido, en el que se puedan externalizar las tareas más operativas y mantener internamente la parte más estratégica de la seguridad.

El pasado febrero, la compañía de investigación de mercados Transparency Market Research publicó un informe en el que analiza el mercado global de la ciberseguridad como servicio. Según el documento, esta tendencia alcanzará los 87.590 millones de dólares (75.460 millones de euros) en ingresos para el año 2025, frente a los 30.910 millones facturados en 2016. Por tanto, se estima que el mercado registrará una tasa media de crecimiento anual del 12,5 por ciento entre 2017 y 2025. Por este motivo, y ante tales previsiones, es normal que en los últimos tiempos haya surgido una amplia oferta de nuevas empresas y soluciones de este tipo.

Para analizar esta tendencia y poner en contexto la realidad en torno a esta cuestión, la revista RED SEGURIDAD, con la colaboración de Panda Security, organizó este "Sobre la mesa...". En él participaron Luis Miguel Brejano, CISO de Codere; Samuel Linares, Managing Director Europe & Latin America ICS Security Lead de Accenture; Ana Sánchez, responsable de Desarrollo de Negocio de Global Technology 4E; José Miguel Cardona, miembro de la Junta Directiva de ISACA; Vicente Martín y Sergio Villarroel, directores de Preventa y de Desarrollo de Negocio de Panda Security, respectivamente.

Antes de entrar en materia, todos ellos pusieron de manifiesto la importancia que tiene hoy en día la ciberseguridad en el entorno empresarial. Por ejemplo, Ana Sánchez, de Global Technology 4E, se mostró convencida de que "cada día que pasa las compañías se encuentran más concienciadas con la seguridad y le dedican una cantidad mayor de recursos". 

Entre las apuestas que muchas de ellas están realizando para proteger sus activos destacan las soluciones de ciberseguridad como servicio; es decir, aquellas que se contratan a un tercero para sustituir o evitar adquirir tecnología propia. En este sentido, la opinión compartida por todos los invitados es que el futuro pasa por un modelo mixto de recursos, con funciones gestionadas internamente y otras de manera externa. Para José Miguel Cardona, de ISACA, "las operaciones de seguridad son perfectamente externalizables en la nube; pero no así la estrategia de ciberseguridad de la empresa". De hecho, a su juicio, es muy difícil la externalización total de la ciberseguridad y apuesta más por un "enfoque híbrido". 

Los dos representantes de Panda Security, Vicente Martín y Sergio Villarroel, también estuvieron de acuerdo con este planteamiento, habida cuenta de que su empresa apuesta por el cloud como una forma de ofrecer recursos especializados en ciberseguridad a sus clientes. "La propia evolución de la tecnología lleva a las organizaciones a este tipo de servicios, en los que, además, no se requiere realizar una gran inversión para contar con ellos", apuntó Martín. 

De igual forma se pronunció Samuel Linares, de Accenture, pero con matices. Según este profesional, "para implementarlo [soluciones de ciberseguridad como servicio] es necesario previamente dar un paso atrás y hacer un diagnóstico de cada empresa y de las necesidades de protección que tiene". No en vano, para Linares, cuanto más pequeña sea una compañía, más sentido tiene optar por la ciberseguridad como servicio; mientras que cuanto más grande sea, más importante será identificar las áreas críticas en las que decantarse por esta modalidad.

Por su parte, Luis Miguel Brejano, de Codere, aunque coincidió en parte con esta argumentación, añadió que optar por la ciberseguridad como servicio "tiene que ver con el grado de madurez de cada empresa, independientemente de su tamaño". Según el directivo, "las organizaciones que no tienen un grado de madurez de seguridad muy elevado ven en la nube una salida para dotarse de un expertise que no tienen". Ahora bien, al igual que el resto de presentes, recalcó la necesidad de que "el conocimiento y la parte más estratégica" se encuentre dentro de la propia empresa y que esté alineada con el negocio.

Claro que también existe un problema inherente, según apuntaron varios de los asistentes a la mesa redonda: la formación y concienciación de los usuarios. Por ejemplo, Sergio Villarroel, de Panda Security, sostuvo que "la ciberseguridad debe formar parte de la estrategia de cualquier compañía. Sin embargo, para ello, el primer paso es la concienciación y la formación de los empleados". Más teniendo en cuenta que "el 70 por ciento de los ataques que tienen éxito aprovechan vulnerabilidades conocidas", apuntó el invitado.

De igual manera se pronunció José Miguel Cardona, de ISACA, para quien "el eslabón más débil sigue siendo el usuario", que únicamente se va concienciando "de manera reactiva". Y en el caso concreto de las pymes, "la seguridad es un tema que ni siquiera se plantean". 

Para Luis Miguel Brejano, de Codere, los directivos, generalmente, suelen tener formación y concienciación para saber "qué tipo de seguridad tienen que aplicar a los datos y la información sensible". Sin embargo, los empleados, "en muchas ocasiones, nos son conscientes de la información que manejan y por eso no la protegen, por lo que hay que estar concienciándoles continuamente", añadió.

¿Responsabilidad compartida?

En este punto, el debate derivó hacia el concepto de responsabilidad en caso de ataque, y en manos de quién debería estar: los usuarios o los proveedores. Para todos los asistentes, este es un tema bastante "complicado", porque "nadie puede tener un cien por cien de seguridad de que no va a recibir un ataque", en palabras de Sergio Villarroel, de Panda Security. De hecho, su compañero Vicente Martín apuntó que siempre se ha considerado que hay dos tipos de compañías: "Las que están siendo atacadas, y las que no saben que lo están siendo". Por eso es preciso poner "la mayor cantidad de barreras posibles", lo cual, a su vez, puede ser un indicativo del grado de servicio de ciberseguridad que una empresa necesita y en qué ámbitos concretos le hace falta.

Este tema también lo abordó Luis Miguel Brejano, de Codere, con un ejemplo: "Hace unos meses nos propusimos seleccionar un proveedor de ciberseguridad como servicio, para lo cual lanzamos una encuesta a las principales empresas españolas de seguridad con 52 cuestiones técnicas referentes a distintos aspectos como el servicio, las certificaciones, los clientes, las tecnologías...", explicó el directivo. Sin embargo, prosiguió: "Nos llevamos una decepción, porque muchas empresas de seguridad gestionada no tenían, por ejemplo, la ISO 22301 de continuidad de negocio ni la ISO 27001 de seguridad de la información".

Precisamente, al respecto intervino Ana Sánchez, de Global Technology 4E, quien opinó que "la ciberseguridad está de moda actualmente y muchas empresas que no tienen nada que ver con ella la están dando como servicio". Por este motivo, recomendó que "la empresa de servicios elegida se dedique única y exclusivamente a la ciberseguridad" y que "aporte garantías y confianza en el momento en el que surja cualquier problema". Asimismo, Luis Miguel Brejano, de Codere, subrayó las importancia de "elegir un proveedor que dé servicios en el mismo sector y tamaño que la empresa" y optar por "fabricantes de reconocido prestigio". 

Y es que, según apuntó José Miguel Cardona, de ISACA, "las organizaciones ponen en manos de un proveedor el 70 u 80 por ciento de la gestión de la ciberseguridad, por lo que es preciso que este les dé las mayores garantías". De hecho, opinó, han de ir más allá de los acuerdos de nivel de servicio (SLA, por sus siglas en inglés), ofreciendo como valor añadido certificaciones, informes, auditorías, calificaciones... 

Por todo ello, es importante, según Samuel Linares, de Accenture, desarrollar requisitos que definan las responsabilidades de cada cual y que todo ello se traslade a los SLA; algo que además "facilita la relación". De manera paralela, para este profesional también resulta fundamental integrar a los directores de Compras en la elección del proveedor, con el fin de "inyectar la ciberseguridad en todo el proceso". 

En este punto hay que tener en cuenta, en opinión de Sergio Villarroel, de Panda Security, "la credibilidad y certidumbre del proveedor". Y es que este invitado se mostró convencido de que muchas empresas optan por servicios de compañías norteamericanas porque es "cool". Sin embargo, afirmó: "Europa debe concienciarse en tener ciberseguridad europea. Por ejemplo, Panda Security es la compañía de seguridad más grande de Europa".

Sistemas 'legacy'

A pesar de todo lo dicho, también hay algunos obstáculos a la hora de implantar soluciones de ciberseguridad como servicio. Uno de ellos lo representan los sistemas legacy (sistemas heredados que no se pueden o son muy difíciles de sustituir por la función que soportan) que realizan su tarea perfectamente, pero dificultan o hacen imposible externalizar algunos servicios de seguridad. En opinión de Vicente Martín, de Panda Security, esto "es muy habitual en entornos como el industrial o el hospitalario, con sistemas de alta tecnología que por debajo tienen Windows XP". Y añadió: "El problema es bastante grave, porque estos sistemas no dejan tocar nada al usuario de las máquinas, y queda todo en manos del fabricante". 

Ahora bien, eso no quita que no se puedan proteger. "El primer paso es controlar 'la isla legacy', contener lo que pasa dentro y, luego, a medida que sea posible, meter ciertos niveles de seguridad de acuerdo con el fabricante y las distintas áreas de ingeniería de las empresas", recalcó Samuel Linares, de Accenture. Y aparte de esto, hay que tener en cuenta otro punto importante: la interdependencia. "Cambiar un equipo obsoleto por otro más actual supone que la nueva versión que corre sobre ello tiene que ser compatible con el resto de máquinas a las que esté conectadas", señaló el directivo.

Por otro lado, también hay que luchar contra la resistencia natural al cambio de los usuarios. De hecho, según apuntó Vicente Martín, de Panda Security: "esto nos lo encontramos habitualmente en las empresas cuando nos dirigimos a ellas con un mensaje disruptivo".

En cualquier caso, la ciberseguridad como servicio puede también ser una ayuda para proteger estos activos más antiguos. Es preciso, por tanto, "ser conscientes de lo que tenemos", en palabras de Samuel Linares, de Accenture. "El modelo de la ciberseguridad como servicio depende de la empresa que lo va a utilizar, y pasa por saber qué y cómo soporta y mejora el negocio. Ahí saldrán los aspectos críticos que nos digan si se puede llevar a la nube ese servicio o no", consideró este profesional. Eso sí, siempre teniendo presente la afirmación de Ana Sánchez: "Hay que apostar por compañías de servicios de ciberseguridad, asegurándose de elegir aquellas cuyo motor sea la ciberseguridad y cuenten con especialistas en ese campo". 

La tecnología también cuenta

Este tipo de proveedores también tienen que proporcionar una tecnología acorde con las necesidades de los usuarios. Vicente Martín, de Panda Security, destacó el uso de sistemas avanzados de monitorización que permitan "encontrar señales de alarma que indiquen que la seguridad de una compañía está siendo comprometida". En este sentido, la empresa apuesta por su plataforma Adaptive Defense, la cual, además, incorpora una función cada vez más habitual: Threat Hunting o detección proactiva de amenazas. A su juicio, "todas las barreras de seguridad están bien, pero hay ciertos ataques que necesitan personas al otro lado que los pueda detectar. Precisamente, esa es la labor del Threat Hunting", comentó.

De esta forma, "el analista realiza búsquedas y estudia las posibles causas", matizó Sergio Villarroel, quien añadió que Panda Security es "una de las empresas más avanzadas del mercado con este tipo de herramientas". El año que viene, la firma de ciberseguridad incluirá reglas para detectar la suplantación de identidad midiendo datos sobre "la forma en que el usuario se conecta, la hora habitual a la que lo suele hacer, las páginas frecuentes por las que navega, cómo introduce las contraseñas...", enumeró el director de Desarrollo de Negocio de la compañía. 

Este tipo de avances tecnológicos son por lo general siempre bien recibidos. Ana Sánchez, de Global Technology 4E, consideró: "Necesitamos herramientas que avancen según la evolución de los ataques y que permitan analizar el contexto y el comportamiento de los usuarios". Igual de esperanzado se mostró José Miguel Cardona, de ISACA, quien se refirió al Threat Hunting como "la primera línea de defensa". Sin embargo, insistió a colación en la necesidad de seguir avanzando en la concienciación para hacer frente efectiva a las amenazas. "Según el último estudio del estado de la ciberseguridad llevado a cabo por ISACA Internacional, el 40 por ciento de los entrevistados no estaban familiarizados con técnicas defensivas ni las tenían implantadas", sentenció. 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual